Épisode 0x003 (Teknik) 25 Février, 2016
Sécurité Active Directory Part 1

Sécurité Active Directory Part 1

Segment Technique par Guillaume Ross (@gepeto42)

Shownotes and Links

• Blue Team: Awesome Windows Domain Hardening Guide par notre host @PaulWebSec

• Sécuriser AD et les serveurs Windows

  • Créer une structure d’OU de base flexible et appliquer l’endurcissement de base avec SCM: https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
    • S’assurer qu’au minimum, toutes les méthodes d’authentification super dangereuse du genre LM et NTLMv1 soient désactivées.
    • Enlever les droits de logon des groupes comme Backup, Account et Print operator des DC.
    • Désactiver la résolution de nom Netbios et LLMNR (surtout sur les postes de travail): Computer Configuration\Administrative Templates\Network\DNS Client\Turn off Multicast Name Resolution = Enabled
  • Déployer une bonne audit policy: https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise et https://blogs.technet.microsoft.com/jepayne/2015/11/26/tracking-lateral-movement-part-one-special-groups-and-specific-service-accounts/
  • Limiter les pouvoirs des comptes de service: https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment](https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment)
    • Empêcher le groupe “Local Accounts https://technet.microsoft.com/en-us/library/dn745900(v=ws.11).aspx de s’authentifier à distance.
    • Empêcher les comptes de service de s’authentifier de façon intéractive.
    • Empêcher les domain et enterprise admin de s’authentifier en tant que services, ainsi que de s’authentifier sur les postes de travail.
    • Déployer LAPS https://www.microsoft.com/en-us/download/details.aspx?id=46899
    • Créer une Fine-Grained Password Policy https://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx pour forcer les comptes de service à avoir de très longs mots de passe (32+).
    • Si vous avez déjà utilisé les GPO pour déployer des mots de passe, les changer en enlever ça au plus vite: https://msdn.microsoft.com/en-us/library/cc422924.aspx
  • Créer des PAW (Privileged Access Workstations) pour toute activité très privilégiée: https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/privileged-access-workstations -Les PAW ne doivent en aucun cas avoir accès à Internet, ni direct ni à travers un proxy.
    • Utiliser Device Guard https://technet.microsoft.com/en-us/itpro/windows/keep-secure/device-guard-deployment-guide ou au moins AppLocker.
  • Déléguer des droits précis et n’avoir aucun compte très puissant utilisé dans le day-to-day. Absolument critique.
  • Serveurs de fichiers
    • Activer l’auditing.
    • Créer une liste de types d’extension communes des Ransomware.
    • Utiliser FSRM pour créer une règle de firewall temporaire, arrêter le service, bloquer le compte utilisateur ou changer les permissions quand un fichier chiffré par ransomware est détecté: https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce et https://fsrm.experiant.ca/